服务器如何建立安全通道

⑴ 如何在Web服务器上设置SSL

采用SSL实现加密传输（1） 在默认情况下，IIS使用HTTP协议以明文形式传输数据，Web Service就是使用HTTP协议进行数据传输的。Web Service传输的数据是XML格式的明文。没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护网络中传递的这些重要数据呢? SSL（Security Socket Layer）的中文全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。 SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。 注意SSL网站不同于一般的Web站点，它使用的是"HTTPS"协议，而不是普通的"HTTP"协议。因此它的URL（统一资源定位器）格式为"https://网站域名"。 下面讲解如何使用SSL来增强IIS服务器和Web Service的通信安全。 实现步骤如下。 1．为服务器安装证书服务 要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。进入"控制面板"，运行"添加或删除程序"，接着进入"Windows组件向导"对话框，如图7-13所示。 图7-13 Windows组件向导 勾选"证书服务"选项，单击"下一步"按钮。 接着选择CA类型。这里选择"独立根CA"选项，如图7-14所示。单击"下一步"按钮，为自己的CA服务器起名，并设置证书的有效期限，如图7-15所示。 图7-14 选择CA类型 图7-15 设置CA信息 最后指定证书数据库和证书数据库日志的位置，如图7-16所示，单击"下一步"按钮。 图7-16 指定证书数据库 因为需要复制系统文件，所以需要插入Windows的安装光盘，如图7-17所示。安装证书服务需要停止当前的IIS运行，所以要单击"是"按钮。 图7-17 复制系统文件 最后，显示完成了证书服务的安装，单击"完成"按钮，如图7-18所示。 图7-18 安装完成 7.9.2 采用SSL实现加密传输（2） 2．配置SSL网站 1）创建请求证书文件 要想让Web Service使用SSL安全机制，首先需将Web Service配置为网站。然后为该网站创建请求证书文件。 依次单击"控制面板"→"管理工具"按钮，运行"Internet 信息服务(IIS)管理器"，在管理器窗口中展开"网站"目录，用鼠标右键单击要使用SSL的Web Service网站，在弹出的快捷菜单中选择"属性"命令，在网站属性对话框中切换到"目录安全性"选项卡，如图7-19所示， 图7-19 网站属性 然后单击"服务器证书"按钮，弹出"IIS证书向导"对话框。 在"IIS证书向导"对话框中选择"新建证书"选项，单击"下一步"按钮，如图7-20所示。 图7-20 服务器证书 选择"现在准备证书请求，但稍后发送"选项。单击"下一步"按钮，如图7-21所示。 图7-21 证书向导 在"名称"输入框中为该证书取名，然后在"位长"下拉列表中选择密钥的位长（默认为1024，长度越长保密性越好，但性能会越差）。单击"下一步"按钮，如图7-22所示。 图7-22 设置证书名称 设置单位信息，如图7-23所示，然后单击"下一步"按钮。设置公共名称，如图7-24所示。 图7-23 设置单位信息 图7-24 设置公共名称 注意 公共名称必须输入为访问站点的域名，例如要想用地址 https://www.maticsoft.com 访问Web Service，则此处必须填写为" www.maticsoft.com "，否则将提示使用了不安全的证书，导致站点无法访问。并且切记， www.maticsoft.com 和 www.maticsoft.com:8001 带端口的访问也是不同的，如果设置的是 www.maticsoft.com ，则网站设置为 www.maticsoft.com:8001 来访问也是无法使用的。 然后，单击"下一步"按钮，设置国家地区，如图7-25所示。 图7-25 设置国家地区 设置证书的单位、部门、站点公用名称和地理信息，一路单击"下一步"按钮。 最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。 7.9.2 采用SSL实现加密传输（3） 2）申请服务器证书 完成上述设置后，还要把创建的请求证书文件提交给证书服务器。 在服务器端的IE浏览器地址栏中输入"http://localhost/CertSrv/default.asp"。 在"Microsoft 证书服务"欢迎窗口中单击"申请一个证书"链接，如图7-26所示。 接下来在证书申请类型中单击"高级证书申请"链接，如图7-27所示。 图7-26 申请证书 图7-27 选择证书类型 然后在高级证书申请窗口中单击"使用base64编码的CMC或PKCS#10……"链接，如图7-28所示。 图7-28 选择编码 接下来在新打开的窗口中，打开刚刚生成的"certreq.txt"文件，将其中的内容复制到"保存的申请"中，如图7-29所示。 图7-29 提交证书申请 单击"提交"按钮，显示"证书挂起"页面，如图7-30所示。 图7-30 证书挂起 7.9.2 采用SSL实现加密传输（4） 3）颁发服务器证书 提交证书申请以后，还需要颁发服务器证书。依次选择"开始"→"设置"→"控制面板"，双击"管理工具"，再双击"证书颁发机构"，在打开的对话框中选择"挂起的申请"选项，如图7-31所示。 （点击查看大图）图7-31 挂起的申请 找到刚才申请的证书，然后用鼠标右键单击该项，在弹出的快捷菜单中选择"所有任务"→"颁发"命令，如图7-32所示。 颁发成功后，选择"颁发的证书"选项，双击刚才颁发的证书，在弹出的"证书"对话框中的"详细信息"标签页中，单击"复制到文件"按钮，如图7-33所示。 图7-32 颁发证书 图7-33 复制到文件 弹出"证书导出向导"对话框，连续单击"下一步"按钮，选择"Base64编码X.509"选项，如图7-34所示。 （点击查看大图）图7-34 选择导出文件格式 单击"下一步"按钮，并在"要导出的文件"对话框中指定文件名，最后单击"完成"按钮。 4）安装Web服务器证书 重新进入IIS管理器的"目录安全性"标签页，单击"服务器证书"按钮，弹出"挂起的证书请求"对话框，选择"处理挂起的请求并安装证书"选项，单击"下一步"按钮，如图7-35所示。 （点击查看大图）图7-35 处理挂起的证书 指定刚才导出的服务器证书文件的位置，如图7-36所示。 （点击查看大图）图7-36 选择导出位置 接着设置SSL端口，使用默认的"443"即可，最后单击"完成"按钮。 7.9.2 采用SSL实现加密传输（5） 5）配置网站启用SSL通道 在网站属性"目录安全性"标签页中单击安全通信栏的"编辑"按钮，然后，勾选"要求安全通道（SSL）"选项，如图7-37所示。 （点击查看大图）图7-37 启用网站SSL通道 忽略客户端证书：选择该选项可以允许用户不必提供客户端证书就可访问该站点。 接受客户端证书：选择该选项可以允许具有客户端证书的用户进行访问，证书不是必需的。具有客户端证书的用户可以被映射；没有客户端证书的用户可以使用其他身份验证方法。 要求客户端证书：选择该选项则仅允许具有有效客户端证书的用户进行连接。没有有效客户端证书的用户被拒绝访问该站点。选择该选项从而在要求客户端证书前，必须选择"要求安全通道（SSL）"选项。 最后单击"确定"按钮，即完成启用SSL了。在完成了对SSL网站的配置后，用户只要在IE浏览器中输入"https://网站域名"就能访问该网站。 注意 勾选上SSL后，必须用HTTPS来访问，而访问网站的端口也会使用SSL端口，默认为443。 如果在你访问站点的过程中出现无法正常访问的情况，那么请检查服务器防火墙是否禁止对SSl端口443的访问，这点比较容易被忽视，当然你也可以自己修改端口。 如果还是不能访问，出现提示"你试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序。HTTP错误403.1-禁止访问：执行访问被拒绝。"那么请检查网站主目录的执行权限，将执行权限设置为纯脚本即可，如图7-38所示。 图7-38 设置执行权限 6）客户端安装证书 如果IIS服务器设置了"要求客户端证书"，则其他机器或用户想通过HTTPS访问和调用该Web服务，就需要将CA的根证书导入到客户端证书的可信任机构中，客户端才可以正常访问Web服务。 （1）选择"开始"→"运行"命令，在弹出的对话框中输入"mmc"，出现如图7-39所示的界面。 图7-39 启动控制台 （2）选择"文件"→"添加/删除管理单元"命令，出现如图7-40所示的界面。 图7-40 添加/删除管理单元 （3）单击"添加"按钮，在可用独立管理单元列表中选择"证书"选项，出现如图7-41所示的界面。 （4）选择"计算机账户"选项，单击"下一步"按钮，选择"本地计算机"选项，然后依次单击"完成"→"关闭"→"确定"按钮。 图7-41 添加证书管理单元 进入当前用户的证书管理单元，界面如图7-42所示。 （点击查看大图）图7-42 选择证书导入位置 选中"个人"下的"证书节点"选项，单击鼠标右键，在弹出的快捷菜单中选择"所有任务"→"导入"命令，如图7-43所示。 （点击查看大图）图7-43 导入证书 选择我们刚才颁发的服务器证书cert.cer，将其导入到个人的存储位置，导入后如图7-44所示。 （点击查看大图）图7-44 导入到证书 7）SSL的优点与缺点 优点：它对Web服务提供的数据完整性没有任何影响，当值返回给客户时，值还是保持原样，并没有因在传输过程中使用了加密技术而发生变化。 缺点：它对站点的整体性能有影响，因为它需要进行很多加解密的数据处理。 0 0 0 (请您对文章做出评价)

⑵ WEB服务器如何配置SSL

随着Windows Server 2003操作系统的推出，Windows平台的安全性和易用性大大增强，然而，在默认情况下，IIS使用HTTP协议以明文形式传输数据，没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护局域网中的这些重要数据呢?下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。

一、什么是SSL

SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“https://网站域名”。

二、安装证书服务

要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。

进入“控制面板”，运行“添加或删除程序”，接着进入“Windows组件向导”对话框，勾选“证书服务”选项，点击“下一步”按钮，接着选择CA类型。这里选择“独立根CA”，点击“下一步”按钮，为自己的CA服务器取个名字，设置证书的有效期限，最后指定证书数据库和证书数据库日志的位置，就可完成证书服务的安装。

三、配置SSL网站

1.创建请求证书文件

完成了证书服务的安装后，就可以为要使用SSL安全机制的网站创建请求证书文件。点击“控制面板→管理工具”，运行“Internet 信息服务-IIS 管理器”，在管理器窗口中展开“网站”目录，右键点击要使用SSL的网站，选择“属性”选项，在网站属性对话框中切换到“目录安全性”标签页（图1），然后点击“服务器证书”按钮。在“IIS证书向导”对话框中选择“新建证书”，点击“下一步”按钮，选择“现在准备证书请求，但稍后发送”。在“名称”输入框中为该证书取名，然后在“位长”下拉列表中选择密钥的位长。接着设置证书的单位、部门、站点公用名称和地理信息，最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。

2.申请服务器证书

完成上述设置后，还要把创建的请求证书文件提交给证书服务器。在服务器端的IE浏览器地址栏中输入“http://localhost/CertSrv/default.asp”。在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接，接下来在证书申请类型中点击“高级证书申请”链接，然后在高级证书申请窗口中点击“使用BASE64编码的CMC或PKCS#10....”链接，再打开刚刚生成的“certreq.txt”文件，将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可。

3.颁发服务器证书

点击“控制面板→管理工具”，运行“证书颁发机构”。在主窗口中展开树状目录，点击“挂起的申请”项（图2），找到刚才申请的证书，然后右键点击该项，选择“所有任务→颁发”。颁发成功后，点击树状目录中的“颁发的证书”项，双击刚才颁发的证书，在弹出的“证书”对话框的“详细信息”标签页中，点击“复制到文件”按钮，弹出证书导出向导，连续点击“下一步”按钮，并在“要导出的文件”对话框中指定文件名，最后点击“完成”。

4.安装服务器证书

重新进入IIS管理器的“目录安全性”标签页，点击“服务器证书”按钮，弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项，点击“下一步”按钮，指定刚才导出的服务器证书文件的位置，接着设置SSL端口，使用默认的“443”即可，最后点击“完成”按钮。

在“目录安全性”标签页，点击安全通信栏的“编辑”按钮，勾选“要求安全通道（SSL）”选项，最后点击“确定”按钮即可启用SSL。

在完成了对SSL网站的配置后，用户只要在IE浏览器中输入“https://网站域名”就能访问该网站。
http://wenku..com/link?url=R-_

⑶ 如何在WEB浏览器和WEB服务器之间建立安全通道实现高安全性

https，不过一般公司很少用。

⑷ 服务器如何保护数据安全

服务器安全这问题，很重要，之前服务器被黑，在网上搜索了一些服务器安全设置以及防黑的文章，对着文章，我一个一个的设置起来，费了好几天的时间才设置完，原以为会防止服务器再次被黑，没想到服务器竟然瘫痪了，网站都打不开了，无奈对服务器安全也是一窍不通，损失真的很大，数据库都损坏了，我哪个后悔啊。娘个咪的。最后还是让机房把系统重装了。找了几个做网站服务器方面的朋友，咨询了关于服务器被黑的解决办法，他们都建议我找专业做服务器安全的安全公司来给做安全维护，也一致的推荐了sinesafe，服务器被黑的问题，才得以解决。

一路的走来，才知道，服务器安全问题可不能小看了。经历了才知道，服务器安全了给自己带来的也是长远的利益。 希望我的经历能帮到楼主，帮助别人也是在帮助我自己。

下面是一些关于安全方面的建议！

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1.修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2.创建一个robots.txt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3.修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改conn.asp，防止非法下载，也可对数据库加密后在修改conn.asp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4.限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5.自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6.慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7.谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8. cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9.目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10.自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11.例行维护

a.定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b.定期更改数据库的名字及管理员帐密。

c.借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

⑸ 如何用 SSL 加固网站安全

直接申请并安装SSL证书就行了。

SSL安全证书简单讲HTTPS是一种加密传输、身份认证的网络通信协议，通过在客户端浏览器与WEB服务器之间建立一条SSL安全通道，其作用就是对网络传输中的数据进行记录和加密，防止数据被截取或窃听，从而保证网络数据传输的安全性。

1份SSL证书包括一个公共密钥和一个私用密钥：公共密钥主要用于信息加密，私用密钥主要用于解译加密信息。当浏览器指向一个安全域时，安装证书后SSL会同步确认客户端和服务器，并在两者之间建立一种加密方式和一个唯一的会话密钥，这样便可保证通话双方信息的完整性和保密性。现在互联网中大部分还是传统的HTTP传输协议，使用这类协议无法保证传输信息的安全性，相当于信息处于“裸奔”状态中，这在当前的网络里具有非常大的安全隐患。而HTTPS协议能对传输的互联网信息进行加密处理，从而在一定程度上保证了信息的安全性，也不会在传输过程中轻易被黑客获取。

⑹ 如何建立安全的远程访问通道

1、打开抄anydesk软件，在我们自己的ID下面找到工作台密码更改，点击这个超链接进入。

⑺ 如何在 Web 服务器上建立 SSL

全套接字层 (SSL)
是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在
Web 浏览器和 Web
服务器之间建立安全通信通道。它也可以在客户端应用程序和 Web
服务之间使用。
为支持 SSL 通信，必须为 Web 服务器配置 SSL
证书。本章介绍如何获取 SSL 证书，以及如何配置 Microsoft Internet
信息服务 (IIS)，以便支持 Web 浏览器和其他客户端应用程序之间使用 SSL
安全地进行通信。

生成证书申请

此过程创建一个新的证书申请，此申请可发送到证书颁发机构 (CA)
进行处理。如果成功，CA 将给您发回一个包含有效证书的文件。

生成证书申请

1.

启动 IIS Microsoft 管理控制台 (MMC) 管理单元。

2.

展开 Web 服务器名，选择要安装证书的 Web 站点。

3.

右键单击该 Web 站点，然后单击“属性”。

4.

单击“目录安全性”选项卡。

5.

单击“安全通信”中的“服务器证书”按钮，启动 Web
服务器证书向导。

注意：如果“服务器证书”不可用，可能是因为您选择了虚拟目录、目录或文件。返回第
2 步，选择 Web 站点。

6.

单击“下一步”跳过欢迎对话框。

7.

单击“创建一个新证书”，然后单击“下一步”。

8.

该对话框有以下两个选项：

"
“现在准备申请，但稍后发送”

该选项总是可用的。

"
“立即将申请发送到在线证书颁发机构”

仅当 Web 服务器可以在配置为颁发 Web 服务器证书的 Windows 2000
域中访问一个或多个 Microsoft
证书服务器时，该选项才可用。在后面的申请过程中，您有机会从列表中选择将申请发送到的颁发机构。

单击“现在准备申请，但稍后发送”，然后单击“下一步”。

9.

在“名称”字段中键入证书的描述性名称，在“位长”字段中键入密钥的位长，然后单击“下一步”。

向导使用当前 Web
站点名称作为默认名称。它不在证书中使用，但作为友好名称以助于管理员识别。

10.

在“组织”字段中键入组织名称（例如
Contoso），在“组织单位”字段中键入组织单位（例如“销售部”），然后单击“下一步”。

注意：这些信息将放在证书申请中，因此应确保它的正确性。CA
将验证这些信息并将其放在证书中。浏览您的 Web
站点的用户需要查看这些信息，以便决定他们是否接受证书。

11.

在“公用名”字段中，键入您的站点的公用名，然后单击“下一步”。

重要说明：公用名是证书最后的最重要信息之一。它是 Web
站点的 DNS
名称（即用户在浏览您的站点时键入的名称）。如果证书名称与站点名称不匹配，当用户浏览到您的站点时，将报告证书问题。

如果您的站点在 Web 上并且被命名为
www.contoso.com，这就是您应当指定的公用名。

如果您的站点是内部站点，并且用户是通过计算机名称浏览的，请输入计算机的
NetBIOS 或 DNS 名称。

12.

在“国家/地区”、“州/省”和“城市/县市”等字段中输入正确的信息，然后单击“下一步”。

13.

输入证书申请的文件名。

该文件包含类似下面这样的信息。
-----BEGIN NEW CERTIFICATE REQUEST-----
...
-----END NEW CERTIFICATE REQUEST-----

这是您的证书申请的 Base 64
编码表示形式。申请中包含输入到向导中的信息，还包括您的公钥和用您的私钥签名的信息。

将此申请文件发送到 CA。然后 CA
会使用证书申请中的公钥信息验证用您的私钥签名的信息。CA
也验证申请中提供的信息。

当您将申请提交到 CA 后，CA
将在一个文件中发回证书。然后您应当重新启动 Web 服务器证书向导。

14.

单击“下一步”。该向导显示证书申请中包含的信息概要。

15.

单击“下一步”，然后单击“完成”完成申请过程。

证书申请现在可以发送到 CA 进行验证和处理。当您从 CA
收到证书响应以后，可以再次使用 IIS 证书向导，在 Web
服务器上继续安装证书。

提交证书申请

此过程使用 Microsoft
证书服务提交在前面的过程中生成的证书申请。

"
提交证书申请

1.

使用“记事本”打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板。

2.

启动 Internet Explorer，导航到
http://hostname/CertSrv，其中 hostname 是运行
Microsoft 证书服务的计算机的名称。

3.

单击“申请一个证书”，然后单击“下一步”。

4.

在“选择申请类型”页中，单击“高级申请”，然后单击“下一步”。

5.

在“高级证书申请”页中，单击“使用 Base64 编码的 PKCS#10
文件提交证书申请”，然后单击“下一步”。

6.

在“提交一个保存的申请”页中，单击“Base64 编码的证书申请（PKCS
#10 或 #7）”文本框，按住
CTRL+V，粘贴先前复制到剪贴板上的证书申请。

7.

在“证书模板”组合框中，单击“Web 服务器”。

8.

单击“提交”。

9.

关闭 Internet Explorer。

颁发证书

"
颁发证书

1.

从“管理工具”程序组中启动“证书颁发机构”工具。

2.

展开您的证书颁发机构，然后选择“挂起的申请”文件夹。

3.

选择刚才提交的证书申请。

4.

在“操作”菜单中，指向“所有任务”，然后单击“颁发”。

5.

确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。

6.

在“详细信息”选项卡中，单击“复制到文件”，将证书保存为 Base-64
编码的 X.509 证书。

7.

关闭证书的属性窗口。

8.

关闭“证书颁发机构”工具。

在 Web 服务器上安装证书

此过程在 Web 服务器上安装在前面的过程中颁发的证书。

"
在 Web 服务器上安装证书

1.

如果 Internet 信息服务尚未运行，则启动它。

2.

展开您的服务器名称，选择要安装证书的 Web 站点。

3.

右键单击该 Web 站点，然后单击“属性”。

4.

单击“目录安全性”选项卡。

5.

单击“服务器证书”启动 Web 服务器证书向导。

6.

单击“处理挂起的申请并安装证书”，然后单击“下一步”。

7.

输入包含 CA 响应的文件的路径和文件名，然后单击“下一步”。

8.

检查证书概述，单击“下一步”，然后单击“完成”。

现在，已在 Web 服务器上安装了证书。

将资源配置为要求 SSL 访问

此过程使用 Internet 服务管理器，将虚拟目录配置为要求 SSL
访问。您可以为特定的文件、目录或虚拟目录要求使用
SSL。客户端必须使用 HTTPS 协议访问所有这类资源。

"
将资源配置为要求 SSL 访问

1.

如果 Internet 信息服务尚未运行，则启动它。

2.

展开您的服务器名称和 Web 站点。（这必须是已安装证书的 Web
站点）

3.

右键单击某个虚拟目录，然后单击“属性”。

4.

单击“目录安全性”选项卡。

5.

单击“安全通信”下的“编辑”。

6.

单击“要求安全通道 (SSL)”。

现在客户端必须使用 HTTPS 浏览到此虚拟目录。

7.

单击“确定”，然后再次单击“确定”关闭“属性”对话框。

8.

关闭 Internet 信息服务。

⑻ 如何构建安全的远程登录服务器(上)

这个文件的每一行包含“关键词－值”的匹配，其中“关键词”是忽略大小写的。下面列出来的是最重要的关键词，用man命令查看帮助页（sshd (8)）可以得到详细的列表。编辑“sshd_config”文件（vi /etc/ssh/sshd_config），加入或改变下面的参数： 下面逐行说明上面的选项设置： Port 22 ：“Port”设置sshd监听的端口号。 ListenAddress 192.168.1.1 ：“ListenAddress”设置sshd服务器绑定的IP地址。 HostKey /etc/ssh/ssh_host_key ：“HostKey”设置包含计算机私人密匙的文件。 ServerKeyBits 1024：“ServerKeyBits”定义服务器密匙的位数。 LoginGraceTime 600 ：“LoginGraceTime”设置如果用户不能成功登录，在切断连接之前服务器需要等待的时间（以秒为单位）。 KeyRegenerationInterval 3600 ：“KeyRegenerationInterval”设置在多少秒之后自动重新生成服务器的密匙（如果使用密匙）。重新生成密匙是为了防止用盗用的密匙解密被截获的信息。 PermitRootLogin no ：“PermitRootLogin”设置root能不能用ssh登录。这个选项尽量不要设成“yes”。 IgnoreRhosts yes ：“IgnoreRhosts”设置验证的时候是否使用“rhosts”和“shosts”文件。 IgnoreUserKnownHosts yes ：“IgnoreUserKnownHosts”设置ssh daemon是否在进行RhostsRSAAuthentication安全验证的时候忽略用户的“$HOME/.ssh/known_hosts” StrictModes yes ：“StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的，因为新手经常会把自己的目录和文件设成任何人都有写权限。 X11Forwarding no ：“X11Forwarding”设置是否允许X11转发。 PrintMotd yes ：“PrintMotd”设置sshd是否在用户登录的时候显示“/etc/motd”中的信息。 SyslogFacility AUTH ：“SyslogFacility”设置在记录来自sshd的消息的时候，是否给出“facility code”。 LogLevel INFO ：“LogLevel”设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮助页，已获取更多的信息。 RhostsAuthentication no ：“RhostsAuthentication”设置只用rhosts或“/etc/hosts.equiv”进行安全验证是否已经足够了。 RhostsRSAAuthentication no ：“RhostsRSA”设置是否允许用rhosts或“/etc/hosts.equiv”加上RSA进行安全验证。 RSAAuthentication yes ：“RSAAuthentication”设置是否允许只有RSA安全验证。 PasswordAuthentication yes ：“PasswordAuthentication”设置是否允许口令验证。 PermitEmptyPasswords no：“PermitEmptyPasswords”设置是否允许用口令为空的帐号登录。 AllowUsers admin ：“AllowUsers”的后面可以跟着任意的数量的用户名的匹配串（patterns）或user@host这样的匹配串，这些字符串用空格隔开。主机名可以是DNS名或IP地址。 /etc/ssh/ssh_config 配置“/etc/ssh/ssh_config”文件是OpenSSH系统范围的配置文件，允许你通过设置不同的选项来改变客户端程序的运行方式。这个文件的每一行包含“关键词－值”的匹配，其中“关键词”是忽略大小写的。 下面列出来的是最重要的关键词，用man命令查看帮助页（ssh (1)）可以得到详细的列表。 编辑“ssh_config”文件（vi /etc/ssh/ssh_config），添加或改变下面的参数： 下面逐行说明上面的选项设置： Host * ：选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。 ForwardAgent no ：“ForwardAgent”设置连接是否经过验证代理（如果存在）转发给远程计算机。 ForwardX11 no ：“ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集（DISPLAY set）。 RhostsAuthentication no ：“RhostsAuthentication”设置是否使用基于rhosts的安全验证。 RhostsRSAAuthentication no ：“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。 RSAAuthentication yes ：RSAAuthentication”设置是否使用RSA算法进行安全验证。 PasswordAuthentication yes ：“PasswordAuthentication”设置是否使用口令验证。 FallBackToRsh no：“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。 UseRsh no ：“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。 BatchMode no ：“BatchMode”如果设为“yes”，passphrase/password（交互式输入口令）的提示将被禁止。当不能交互式输入口令的时候，这个选项对脚本文件和批处理任务十分有用。 CheckHostIP yes ：“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。

⑼ 对于网络安全要求较高的服务器（如银行网上服务），如何设置HTTPS

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容请看SSL。
它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。
它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。
也就是说它的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。
限制
它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.
一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。
商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。
国内相对比较的服务器是 万网的，要有钱可以买老外的服务器
https 好象是收费的服务

⑽ 什么是SSL如何使用

SSL证书，也称为服务器SSL证书，是遵守SSL协议的一种数字证书，由全球信任的证书颁发机构(CA)验证服务器身份后颁发。将SSL证书安装在网站服务器上，可实现网站身份验证和数据加密传输双重功能。

如何使用SSL：
SSL证书需要到CA机构申请，然后部署到网站的服务器端，网站就可以实现ssl加密访问了。